eIDAS 2 Cartera de Identidad Digital: Guía 2026

La entrada en vigor del reglamento eIDAS 2 marca un punto de inflexión histórico para la gestión de la identidad digital en Europa. Con EUDI Wallet — European Digital Identity Wallet — cada ciudadano y cada empresa dispondrá pronto de una cartera digital soberana, interoperable y reconocida en los 27 Estados miembros. Para los departamentos de Derecho, RRHH, Cumplimiento Normativo y TI, este proyecto regulatorio abre tantas oportunidades como desafíos operacionales. Este artículo descifra el funcionamiento técnico y jurídico de EUDI Wallet, sus implicaciones concretas para las empresas y la forma en que se articula con las soluciones de firma electrónica cualificada ya existentes.

¿Qué es eIDAS 2 y EUDI Wallet?

Del reglamento eIDAS 1.0 al reglamento eIDAS 2.0: una evolución estructural

Adoptado en 2014, el reglamento eIDAS n°910/2014 estableció las bases de la confianza digital en Europa: firmas electrónicas cualificadas, sellos, marcas de tiempo y servicios de autenticación. Pero una década después, sus limitaciones se hicieron evidentes: insuficiente interoperabilidad entre Estados miembros, adopción desigual de identidades digitales nacionales, ausencia de una cartera unificada. El reglamento (UE) 2024/1183, denominado eIDAS 2, adoptado oficialmente el 11 de abril de 2024 en el Diario Oficial de la UE, corrige estas deficiencias imponiendo un marco común de identidad digital soberana.

Para profundizar en el conjunto del nuevo marco regulatorio, consulta nuestro guía completa sobre el reglamento eIDAS 2.0.

EUDI Wallet: arquitectura y principios fundacionales

EUDI Wallet (European Digital Identity Wallet) es una aplicación móvil y/o de software que cada Estado miembro deberá poner a disposición de sus ciudadanos y residentes a más tardar en 2026, conforme al artículo 5a del reglamento revisado. Concretamente, esta cartera digital permite:

• Almacenar y presentar atributos de identidad verificados: documento de identidad, permiso de conducir, diplomas, acreditaciones profesionales, número de IVA intracomunitario para personas jurídicas.
• Autenticar al usuario ante servicios públicos y privados en niveles de seguridad elevados (LoA High según el anexo I del reglamento).
• Firmar electrónicamente documentos con nivel cualificado, apoyándose en Qualified Electronic Signature Creation Devices (QSCD) certificados.
• Compartir selectivamente los datos (principio de selective disclosure) sin revelar más información de la necesaria — un aporte importante para el cumplimiento del RGPD.

La arquitectura se basa en las especificaciones técnicas publicadas por la Comisión Europea a través de la Architecture and Reference Framework (ARF), mantenida por el consorcio EUDIW (European Digital Identity Wallet). Los formatos de presentación adoptados incluyen notablemente ISO/IEC 18013-5 (mDL — mobile Driver's Licence) y SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), dos estándares abiertos que garantizan la portabilidad.

¿Quién está afectado? Empresas receptoras (Relying Parties)

El reglamento eIDAS 2 introduce la noción de Relying Party (parte receptora). Cualquier organización — empresa privada, administración, plataforma en línea — que acepte atributos de identidad provenientes de EUDI Wallet debe registrarse ante su Estado miembro y respetar un conjunto de obligaciones técnicas y de seguridad. El artículo 5b del reglamento precisa que las grandes plataformas (en el sentido del DSA) y ciertos sectores (banca, sanidad, energía) estarán obligadas a aceptar EUDI Wallet desde la entrada en producción nacional.

Funcionamiento técnico de EUDI Wallet para las empresas

El flujo de autenticación y firma paso a paso

Comprender el flujo técnico es imprescindible para anticipar la integración en los sistemas de información. Un escenario típico de firma de contrato vía EUDI Wallet se desarrolla así:

1. Inicialización: la Relying Party (p. ej.: tu plataforma SaaS) genera una solicitud de presentación conforme al protocolo OpenID4VP (OpenID for Verifiable Presentations).
2. Notificación: el usuario recibe una notificación en su EUDI Wallet móvil.
3. Consentimiento y selección: el usuario elige los atributos a compartir (nombre, apellido, fecha de nacimiento) a través de la interfaz de selective disclosure.
4. Presentación verificable: la cartera genera una prueba criptográfica firmada por el Trusted Issuer (el Estado miembro o un proveedor acreditado).
5. Verificación: la Relying Party verifica la prueba a través del registro de confianza europeo (Trust Framework), sin almacenar datos innecesarios.
6. Firma cualificada: si se requiere un acto de firma, el QSCD integrado en la cartera o alojado en la nube (QSign) produce una firma cualificada conforme a ETSI EN 319 132.

Este flujo garantiza un nivel de seguridad LoA High, el más elevado previsto por el reglamento, equivalente a una verificación presencial.

Integración con plataformas de firma electrónica existentes

Los editores de soluciones de firma electrónica deben integrar los protocolos OpenID4VCI (emisión) y OpenID4VP (presentación) para conectarse al ecosistema EUDI. Para las empresas que ya utilizan una plataforma conforme a eIDAS 1.0, la transición hacia eIDAS 2 implica una actualización técnica, pero preserva el valor jurídico de las firmas ya realizadas. Por lo tanto, es estratégico evaluar la hoja de ruta de tu proveedor actual, especialmente si contemplas migrar de DocuSign o YouSign hacia una solución más conforme.

Identidad digital de personas jurídicas: el desafío empresarial

eIDAS 2 no se limita a personas físicas. El artículo 5a §3 prevé explícitamente carteras para personas jurídicas, permitiendo a las empresas:

• Probar su existencia legal (equivalente a un extracto del registro mercantil digital verificable).
• Delegar poderes de firma a sus colaboradores de manera auditada y revocable.
• Automatizar la verificación de KYB (Know Your Business) en procesos contractuales B2B.

Esta dimensión es particularmente transformadora para los procesos de firma electrónica en la empresa, especialmente en los sectores de RRHH, legal y financiero.

Calendario de despliegue y obligaciones regulatorias 2024-2026

Fases de implementación según el reglamento

El reglamento (UE) 2024/1183 fija un calendario vinculante:

• Abril de 2024: publicación en el Diario Oficial, entrada en vigor 20 días después.
• Finales de 2024: publicación de los actos de ejecución (Implementing Acts) que definen las especificaciones técnicas obligatorias.
• 2025: despliegue de carteras piloto nacionales (proyectos large-scale pilots: EU Digital Identity Wallet Large Scale Pilots, financiados con 46 millones de euros por la Comisión).
• Finales de 2026: puesta a disposición obligatoria por todos los Estados miembros de al menos un EUDI Wallet operativo. Las grandes plataformas y sectores regulados deberán aceptarlo.

Para las empresas francesas, el despliegue se apoya en la identidad digital La Poste y en los trabajos de la ANSSI respecto a la certificación de los Trusted Issuers nacionales.

Obligaciones para las Relying Parties

Las empresas que deseen o deban aceptar EUDI Wallet están sujetas a varias obligaciones:

1. Registro ante la autoridad nacional competente (en Francia, la ANSSI y la CNIL según los casos).
2. Conformidad técnica con las especificaciones de ARF v2.x publicadas en GitHub por la Comisión Europea.
3. Transparencia: publicar en un registro público los atributos solicitados y la finalidad del tratamiento.
4. Minimización de datos: solicitar solo los atributos estrictamente necesarios — obligación reforzada por el RGPD.
5. Registro de actividad: conservar los registros de las presentaciones verificables para auditoría, sin almacenar datos de identidad sin procesar.

Las empresas que integren EUDI Wallet en sus flujos de firma electrónica para bufetes de abogados o para la gestión de RRHH se beneficiarán de una ventaja competitiva significativa a partir de 2026.

Desafíos estratégicos y oportunidades para las empresas

Reducción de fricciones en procesos KYC/KYB

Uno de los beneficios más inmediatos de EUDI Wallet es la eliminación de verificaciones de identidad manuales. Hoy en día, la incorporación de un nuevo cliente o socio implica el envío de justificantes, verificación manual y retrasos de procesamiento. Con EUDI Wallet, la verificación se vuelve instantánea, certificada criptográficamente y auditada. Los sectores bancario, inmobiliario y de seguros — sujetos a obligaciones de lucha contra el blanqueo de capitales — ven aquí una oportunidad importante de cumplimiento automatizado. El sector de la firma electrónica en bienes raíces se ve particularmente impactado, con procesos de verificación de identidad que representan hoy hasta el 40 % del tiempo administrativo.

Soberanía digital y reducción de dependencia de GAFAM

EUDI Wallet responde a una ambición política fuerte: reducir la dependencia de los europeos en sistemas de identidad operados por actores no europeos (Google, Apple, Meta). Para las empresas, esto se traduce en una infraestructura de autenticación interoperable, abierta y no cautiva, basada en estándares ISO y W3C en lugar de SDK propietarios. Esta soberanía también es un argumento comercial de diferenciación en las licitaciones públicas, cada vez más sensibles a cláusulas de localización de datos.

Impacto en la firma electrónica cualificada y los QTSP

Los Proveedores de Servicios de Confianza Cualificados (QTSP — Qualified Trust Service Providers) ven su rol evolucionar. Con EUDI Wallet, los QSCD pueden alojarse directamente en la cartera o delegarse a un QTSP en la nube (Remote Qualified Signature). Para las empresas, esto significa que la firma cualificada — hasta ahora reservada a los casos más críticos por su complejidad — se vuelve accesible y escalable. Nuestro comparativo de soluciones de firma electrónica ahora integra este criterio de compatibilidad EUDI Wallet en su análisis.

Marco legal aplicable a EUDI Wallet y a las empresas

Reglamento eIDAS 2: (UE) 2024/1183

El texto fundador es el reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024, que modifica el reglamento eIDAS n°910/2014. Es directamente aplicable en todos los Estados miembros sin trasposición legislativa nacional, lo que garantiza uniformidad jurídica europea. Los artículos 5a a 5c definen las obligaciones relativas a EUDI Wallet, los niveles de seguridad y los derechos de los usuarios. El artículo 46f introduce las obligaciones específicas para las Relying Parties de sectores regulados.

Código Civil francés: artículos 1366 y 1367

En derecho francés, la firma electrónica cualificada producida a través de un EUDI Wallet se beneficia de la presunción de fiabilidad prevista por el artículo 1367 del Código Civil: « La firma electrónica consiste en el uso de un procedimiento fiable de identificación que garantiza su vinculación con el acto al que se refiere. » Se presume la fiabilidad cuando la firma es cualificada en el sentido de eIDAS. El artículo 1366 equipara el escrito electrónico al escrito en papel siempre que su autor esté identificado y se garantice la integridad — dos condiciones que EUDI Wallet cumple nativamente.

RGPD n°2016/679: articulación con la minimización de datos

El reglamento (UE) 2016/679 (RGPD) se aplica plenamente a las Relying Parties que tratan atributos de identidad provenientes de EUDI Wallet. Los principios de minimización de datos (art. 5 §1c), de limitación de la finalidad (art. 5 §1b) y de privacy by design (art. 25) deben integrarse desde el diseño de la integración técnica. La selective disclosure nativa de EUDI Wallet facilita técnicamente el cumplimiento, pero la empresa sigue siendo responsable (art. 24) de documentar sus bases legales de tratamiento.

Normas ETSI y estándares técnicos

La firma cualificada producida vía EUDI Wallet debe respetar las normas ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) y ETSI EN 319 162 (PAdES) para los formatos de firma electrónica avanzada y cualificada. Las políticas de certificación se definen en ETSI EN 319 401 (General Policy Requirements for Trust Service Providers). Los actos de ejecución de la Comisión precisan los requisitos de certificación de los Trusted Issuers (norma ISO/IEC 27001 y criterios comunes EAL 4+).

Directiva NIS2: (UE) 2022/2555

Los operadores de infraestructura EUDI Wallet (Estados miembros, Trusted Issuers, QTSP) están sujetos a las obligaciones de la directiva NIS2 (UE) 2022/2555, transpuesta en Francia por la ley n°2023-703. Para las empresas usuarias, NIS2 impone obligaciones de gestión de riesgos relacionados con proveedores terceros (art. 21 §2d), lo que incluye proveedores de soluciones que integran EUDI Wallet. Se recomienda un análisis de impacto de riesgos de la cadena de suministro digital antes de cualquier despliegue.

Escenarios de uso de EUDI Wallet en la empresa

Escenario 1: Bufete de abogados — verificación de identidad y firma de poderes

Un bufete de abogados de negocios de una veintena de colaboradores trata cada mes varios cientos de poderes, cartas de misión y procuraciones. Hoy en día, la verificación de identidad de los clientes implica el envío de justificantes por correo electrónico, verificación manual por la asistente jurídica y un plazo medio de 48 horas. Con la integración de EUDI Wallet como mecanismo de autenticación, el cliente presenta su documento de identidad digital desde su cartera en menos de 90 segundos. La firma cualificada se produce inmediatamente, sin fricción adicional. Según los comentarios observados en los pilotos large-scale realizados entre 2023 y 2025, este tipo de flujo reduce el tiempo de procesamiento de la incorporación del cliente de 60 a 75 % y elimina los riesgos de errores de entrada o documentos caducados. El bufete también gana en cumplimiento de normas contra el blanqueo de capitales, siendo los atributos de identidad certificados criptográficamente por un Estado miembro.

Escenario 2: PYME industrial — gestión de contratos proveedores y delegaciones de firma

Una PYME industrial de un centenar de empleados gestiona aproximadamente 300 contratos proveedores al año, implicando responsables de compras distribuidos en tres sitios. La gestión de delegaciones de firma está hoy documentada en papel y es difícil de auditar. Con EUDI Wallet empresarial (persona jurídica), la dirección puede atribuir atributos de delegación verificables a cada responsable de compras: límite de compromiso, ámbito geográfico, duración de validez. Estos atributos se almacenan en la cartera del colaborador y se presentan automáticamente en cada acto de firma. En caso de partida o cambio de puesto, la revocación es instantánea y auditada. Este mecanismo reduce los riesgos de litigios contractuales relacionados con firmas no autorizadas y mejora la trazabilidad para auditorías internas. Las direcciones financieras constatan generalmente una reducción de 30 a 40 % del tiempo dedicado a la gestión y verificación de poderes de firma.

Escenario 3: Agrupación hospitalaria — consentimiento del paciente y acceso a datos de sanidad

Una agrupación hospitalaria que reúne varios establecimientos y aproximadamente 1 500 agentes de sanidad se enfrenta a desafíos cada vez más complejos de consentimiento del paciente, especialmente para el acceso a historiales médicos compartidos a través de Mi Espacio Sanidad. La integración de EUDI Wallet como mecanismo de consentimiento informado permite al paciente validar, desde su smartphone, el acceso a sus datos por un médico especialista, especificando la duración y ámbito del acceso. La selective disclosure garantiza que solo se compartan atributos médicos relevantes. Para los agentes de sanidad, la cartera proporciona su número RPPS (Repertorio Compartido de Profesionales de Sanidad) como atributo verificable, eliminando los procesos de verificación manual actuales. Este tipo de despliegue, coherente con el marco del Espacio Europeo de Datos de Sanidad (EHDS), puede reducir los retrasos de acceso a datos de sanidad autorizados de varias horas a unos pocos segundos. Para más información sobre los desafíos específicos del sector, nuestra guía sobre firma electrónica en sanidad detalla las restricciones regulatorias aplicables.

Conclusión

EUDI Wallet y el reglamento eIDAS 2 constituyen la transformación más significativa de la identidad digital europea en una década. Para las empresas, el desafío no es solo cumplir con una nueva regulación, sino aprovechar una oportunidad de modernizar profundamente sus procesos de firma, incorporación y gestión de delegaciones. Los sectores jurídico, RRHH, sanidad e industrial están en primera línea. La clave del éxito radica en la anticipación: evaluar ahora mismo la compatibilidad de tus herramientas actuales, formar a tus equipos y elegir socios cuya hoja de ruta esté alineada con eIDAS 2.

Certyneo acompaña a las empresas en esta transición con una plataforma de firma electrónica diseñada para ser compatible con EUDI Wallet desde su despliegue. Descubre nuestras ofertas e inicia gratuitamente para anticipar 2026 con total tranquilidad.